Невидимая шифрование уровня PGP на флешке

Уже в первых ответах было сказано, что задача, как она поставлена изначально, не имеет решения. Костыли тоже были предложены. Что Вас не устраивает?

Когда следователь изводит твоих родственников

Родественники в компьютерных технологиях совершенно некомпетентны

приходит в деканат с требованием твоего отчисления из института

Извините, по какому это закону следователь может требовать отчислить из института?! Да его там нахер пошлют моментально! И чтобы отчислили, должно быть постановление суда и т.д.^*

начальству на работе про твои уголовные наклонности это совсем не смешно

Тем более начальство на работе будет прикрывать, если ты у них на хорошем счету. Скажем так, к силовикам, где то ни было — в университете, на работе, относятся с большим подозрением и про всю эту грязную кухню знают. То, о чём вы говорите, обычно работает в быдлоинститутах и в быдлофирмах, где все готовы уссаться при виде чела в форме.

Видимо вы лично не сталкивались, я сталкивался, теперь шапкозакидательно не рассуждаю.

Да, я к счастью не сталкивался, но опыт других не так однозначен, как вы преподносите, и наиболее частая стратегия — "никто не хочет выносить сор из избы".

^*я не знаю на каком глобусе вы живёте, я помню в мои года как какую-то команту в общежитии накрыли за якобы химлабораторию по производству амфетаминов, и насколько я знаю деканат содействовал студентам как только мог, в итоге все обвинения были сняты; не надо в шарагх учиться — вот это да.

Ув. Гость (25/02/2011 14:26) Вы упортно продолжаете стоять на своем, и это при том что опыта не имеете. Вам уже ответили те, кто не по-наслышке знает.
Вам уже сказали, не верите – Ваше дело, если не повезет – будет время пересмотреть взгляды.

Родественники в компьютерных технологиях совершенно некомпетентны

Это не мешает например сказать матери что по их информации ее сын наркоман и болен спидом, затаскать ее по допросам, провести два обыска в квартире (искали оружие, наркотики и черти что еще) и почти довести до инфаркта. Конечно мать в компьютерных технологиях не бум-бум, но поневоле задумаешся – стоит ли молчание инфаркта у матери?

Извините, по какому это закону следователь может требовать отчислить из института?!

Ни по какому, просто придет и потребует. Отчислить врядли отчислят, но в деканат на неприятную беседу вызовут, это особенно касается бесплатников.

Тем более начальство на работе будет прикрывать, если ты у них на хорошем счету.

У начальства своих проблем хватает чтобы еще с ментами за тебя цапаться. Тут 50/50 уволят или нет. Если уволят, то устроиться на новую работу пока следователь ходит за тобой по пятам и все поганит будет трудно.

Это не мешает например сказать матери что по их информации ее сын наркоман и болен спидом

Так она и поверила, особенно если сын не курит и не пьёт, ага.

Кстати, Linux'у можно предъявить "устройство" из маленьких кусочков, которые вообще в разных местах хранятся (и на разных файловых системиах) — он его прозрачно склеит (это штатаная фича dmsetup). Это может использоваться для создания криптотомов не то что без сигнатур, но даже без соли. Последнюю можно хранить отдельно, т.к. она в хидере (хедер LUKS-а вполне успешно отрезается и приклеивается, при отрезании хедера от luks0-криптотома уходит также зашифрованный master key). Что же касается всей схемы защиты в целом, то тут чем больше самодеятельности (в пределах разумного), тем лучше, чтоб не повторяться, ну и трепаться обо всей схеме в целом незачем. На выходе имеется что-то типа

1. Флэшки с какими-то файлами и "битым" архивом/видеофайлом, откуда с помощью dd извлекается набор байтов, к которым потом запиливается magic, и которые потом расшифровываются командой openssl.
2. dm
3. LUKS бэкэндом.

Post scriptum: sapienti sat. Возможно, позже будет инструкция с PoC.

Гость (22/02/2011 11:38)

Если уметь стандартными средствами делать xOR фрагментов носителя с точностью до байта.

Это умеют делать bash, zsh, perl. Bash есть в любом Linux LiveCD, а perl — вообще в любом UNIX.
& bitwise AND ^ bitwise XOR | bitwise OR
© man zshall

трепаться обо всей схеме в целом незачем

А вот это уже безопасность через неясность. Схема должна быть полностью открыта, но в ней должно быть чётко указано, какие элементы могут варьироваться случайно (ключ) для достижения неперебираемой на практике мощьности вариантов.

^ bitwise XOR

А какой командой читать/переписывать фрагменты двоичных файлов/разделов?

Да, и ещё скрипт должен быть настолько коротким, что-бы его можно было каждый раз набирать вручную!

При этом должен использовать такие только элементы ОС, которые нельзя маргинализировать.

Мысль как о потенциальных бандитах понятна, если это разумное допущение (с разумно высоким уровнем вероятности), а не "оскорбление" или "разжигание".

Если говорить чуть более формально и развёрнуто, у каждого есть выбор между добром и злом. Форенсик — это человек, ступивший на путь зла и осознанно его выбравший. Основное занятие форенсиков (по факту), в чём нетрудно убедиться полистав их форумы, не в раскалывании дискового шифрования, не в борьбе с ДП и прочим эксплицитным криминалом, а в вскрывании пиратки и нелицензионного софта — поистине золотого дна, где сейчас кормятся все копирастические крысы и проприетарщики. А что вы думали, что форенсики нарушение BSD/GPL защищают? :) Этот сайт не то место, где надо объяснять в чём отличие копирования от воровства и т.п., кто не понял чти /comment43592. К тому же форенсики никогда не скрывают своего удовольствия от того, что они приспешники этого копирастического режима, и, будучи госслужащими, как бы обязаны всецело поддерживать любой законодательный идиотизм и преклоняться пред законом как перед высшим священным знанием, т.е. быть обычными биороботами-исполнителями.

А вот это уже безопасность через неясность

Она хоть и критикуется, но не всё так просто. См. комментарии к топику Безопасность через неясность. В частности, там указано

Для материальных объектов (дверные замки) такие теоретические построения невозможны. Даже для криптоалгоритмов "доказуемость" выводится зачастую с большой натяжкой и массой условностей.

что как бы говорит о том, что при переходе от чистой криптографии к стеганографии или ИБ в целом максима Кирхгофа становится лишь недостижимым ориентиром несмотря на то, что в криптографии она — необходимое условие.

А какой командой читать/переписывать фрагменты двоичных файлов/разделов?

Пример с OpenSSL выше уже был приведён (/comment39520), для остальных случаев делается аналогично. Важно то, что некие данные считываются во временный файл (в mfs или tmpfs), а потом там что-то заменяется. Естественно, что для крипторазделов такое не прокатит — нельзя 30 гигов считать, а потом разместить 30гиговый образ в памяти, в то же время софт должен видеть этот образ со всеми сигнатурами, хотя на диске их быть не должно (т.е. при внезапном отключении питания всё должно выглядеть беcсигнатурно). Вот для решения этой проблемы и применяется dm (device mapper): начальная часть криптотома, содержащая сигнатуры — это один маленький кусок, который будет размещён в оперативной памяти после редактирования соответствующих, считанных при помощи dd, данных. Другой кусок — сам криптотом и т.д. Затем dm склеит их все воедино и представит как единое блочное устройство операционной системе со всеми подобающими сигнатурами. К радости Linux'оидов и unknown'а в частности могу порадовать тем, что dm получает признание и за пределами Linux:

• Cryptsetup/LUKS and the required infrastructure have also been implemented on the DragonFly BSD operating system.

• NetBSD LVM enabled by default. Уже есть man dmsetup в NetBSD-current (впрочем, в NetBSD 5.1-release (последнем на текущий момент ещё нету).

Кстати, старый интерфейс (его и сейчас можно использовать), вообще не писал заголовков:

The "cryptsetup" command-line interface does not write any headers to the encrypted volume, and hence only provides the bare essentials: Encryption settings have to be provided every time the disk is mounted (although usually employed with automated scripts), and only one key can be used pervolume; the symmetric encryption key directly derived from the supplied passphrase. For these reasons, the use of cryptsetup is discouraged with plain passphrases.

Т.е. LUKS можно не использовать, а задавать сразу master key, написав скрипт, который сам будет выводить нужный key из соли и ключа^**.

Да, и ещё скрипт должен быть настолько коротким, что-бы его можно было каждый раз набирать вручную!

Это необязательно. Зашифруйте скрипт openssl'ем и поместите его внутрь архивного файла, имеющегося на флэшке. Обратная процедура: dd + magic ему запили + расшифруй openssl'ем.

^**Хотя стандартных консольных тулзов для PKBDF2 вроде бы нет, есть примеры реализации на Perl'е, а последний есть, по факту, в любой системе. Так же есть стандартный openssl'ный способ, который хуже.

Если кому интересен формат сигнатур LUKS, имеется спецификация on-disk-format.pdf.

Небольшой off к дню введения полиции в России (цитата уже гуляет по интернетам) :-)

— А кто такие эти полицейские? — спросила Селёдочка.
— Бандиты! — с раздражением сказал Колосок. — Честное слово, бандиты! По-настоящему, обязанность полицейских — защищать население от грабителей, в действительности же они защищают лишь богачей. А богачи-то и есть самые настоящие грабители. Только грабят они нас, прикрываясь законами, которые сами придумывают. А какая, скажите, разница, по закону меня ограбят или не по закону? Да мне всё равно!
— Тут у вас как-то чудно! — сказал Винтик. — Зачем же вы слушаетесь полицейских и ещё этих… как вы их называете, богачей?
— Попробуй тут не послушайся, когда в их руках все: и земля, и фабрики, и деньги, и вдобавок оружие! — Колосок пригорюнился. — Теперь вот явлюсь домой, — сказал он, — а полицейские схватят меня и посадят в кутузку. И семена отберут. Это ясно! Богачи не допустят, чтоб кто-нибудь сажал гигантские растения. Не суждено, видно, нам избавиться от нищеты!
— Ничего, — сказал Знайка. — Мы дадим вам прибор невесомости. Пусть попробуют тогда сунуться со своим оружием! Видали, как полетели эти пятеро полицейских?
Винтик и Шпунтик тут же соорудили для Колоска прибор невесомости и стали показывать, как обращаться с ним.
— Это что же? — с недоумением сказал Колосок. — Я, значит, должен буду всё время болтаться в состоянии невесомости?

© Н. Носов "Незнайка на Луне". 1965 г. Изд-во "Детская литература".

Если кому-то так нужна отрицаемость, то можно сначала зашифровать контейнер LUKS (со всеми его полезными фичами — быстрое и сравнительно безопасное удаление ключа и смена паролей), а поверх для маскировки ещё раз зашифровать простым cryptsetup с другой парольной фразой, подробнее см. на основе FAQ.

Полицейский комиссар сказал, что все это увертки, так как отличить полицейского от бандита не так уж трудно. В ответ на это стрелявший из пистолета сказал, что теперешнего полицейского не отличишь от бандита, так как полицейские часто действуют заодно с бандитами, бандиты же переодеваются в полицейскую форму, чтоб удобнее было грабить. В результате честному коротышке уже совершенно безразлично, кто перед ним: бандит или полицейский.

© Н. Носов "Незнайка на Луне". 1965 г. Изд-во "Детская литература".

Если кому-то так нужна отрицаемость, то можно сначала зашифровать контейнер LUKS (со всеми его полезными фичами — быстрое и сравнительно безопасное удаление ключа и смена паролей)

При смене пароля перешифровывается мастер-ключ в слоте, а не сам диск. Если пароль скомпрометирован, лучше перешифровывать, т.к. противник мог скопировать шифрованный паролем мастер-ключ и узнать его.

а поверх для маскировки ещё раз зашифровать простым cryptsetup с другой парольной фразой

Двойное шифрование не добавит производительности, да и стоит ли оно того тут, когда можно и без этого.

Если пароль скомпрометирован, лучше перешифровывать, т.к. противник мог скопировать шифрованный паролем мастер-ключ и узнать его.

Кроме того, трудно убедить себя в том, что предыдущая копия точно и надёжно шреддится с диска... да и как это проконтролировать? Смотреть hexdump'ом?